Sessão é como se fosse um lugar pra vc guardar informações do usuário, então quando for autenticar um usuário vc grava um atributo falando que ele foi autenticado, quando for entrar em uma pagina que necessita de autenticação vc verifica por esse atributo na sessão se ele existir significa que o usuário está autenticado, se ele não existir não está.
pra usar session dentro de jsp vc tem duas opções: propriedade getSession na request ou o propio objeto session que é um atalho praquela propriedade ali…
//isso
HttpSession session = request.getSession();
//ou se estiver dentro de uma jsp usa o objeto session direto
<% session.getAttribute(); %>
Você devia fazer algo do tipo antes só que com cookies… quando o usuário autenticava vc ia lá e adicionava um cookie pra response, para autenticar o usuario agora vc adiciona a “autenticação” dele no objeto session e pode adicionar junto informações com um bean.
//logica para verificar se a senha e o usuario estao corretos
session.setAttribute("cliente", clienteBean);
dae quando for verificar se o usuario esta autenticado vc pega e dá um getAttribute
ClienteBean bean = (ClienteBean)session.getAttribute("cliente");
if(bean == null)
//cliente não autenticado
//encaminha pra tela de login
request.getRequestDispatcher("/login").forward(request, response);
para fazer logoff do usuario é só invalidar a sessão.
usndo cookies para invalidar o mesmo vc deve setar o seu expire date para algo já passado, supondo que vc gravou um cookie de nome cliente então temos o seguinte:
Cookie[] cookies = request.getCookies();
for(int i = 0; i < cookies.length; i++){
if(cookies[i].getName().equals("cliente")){
cookies[i].setMaxAge(0);
response.addCookie(cookies[i]);
}
}
